Вопросы Теги

Сервер, внезапно исчерпывающий энтропию

Да вопрос, поскольку они указывают на направление потока сообщений. Необходимо улучшить метод обработки для не переупорядочения записей.

4
задан 6 June 2015 в 01:24
4 ответа

С lsof в качестве источника диагностики утилита, сработает ли настройка чего-либо с помощью аудита? Невозможно исчерпать пул энтропии без открытия / dev / random , поэтому, если вы проверяете обработку открытия / dev / random , виновник (или, по крайней мере, набор кандидатов для дальнейшее обследование) должен выпадать довольно быстро.

4
ответ дан 3 December 2019 в 03:00

Возможно, поможет lsof (список открытых файлов). Это показывает, какой процесс в настоящее время держит какие файлы открытыми. В вашем случае это помогает только тогда, когда вы поймаете, что ваш процесс (ы) истощает энтропию, если этот процесс не удерживает ручку в открытом состоянии дольше. 

$ lsof /dev/urandom
COMMAND     PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
xfce4-ses  1787   to   15r   CHR    1,9      0t0 8199 /dev/urandom
applet.py  1907   to    9r   CHR    1,9      0t0 8199 /dev/urandom
scp-dbus-  5028   to   10r   CHR    1,9      0t0 8199 /dev/urandom
firefox    6603   to   23r   CHR    1,9      0t0 8199 /dev/urandom
thunderbi 12218   to   23r   CHR    1,9      0t0 8199 /dev/urandom

Просто образец с моей рабочей станции. Но более глубокое погружение в lsof может помочь.

1
ответ дан 3 December 2019 в 03:00

Если нет лучшего решения, вы можете задействовать большие пушки и глобально обернуть системный вызов open () для регистрации процессов, которые попытайтесь открыть /etc/[u visiblerandom.[12112 impressionJust(tm) напишите библиотеку, определяющую open (), которая ведет журналы, а затем вызывает исходную libc open ().

Подсказка: man ld. так что и /etc/ld.so.preload .

У нас было нечто похожее: https://stackoverflow.com/questions/9614184/how-to-trace-per-file-io-operations-in-linux

ПРЕДОСТЕРЕЖЕНИЕ: Сам никогда этого не делал. Это может привести к поломке вашей системы, поскольку каждый open () будет проходить через вашу библиотеку. Возможно, все в порядке в среде отладки или если вы Р. М. Столлман.

0
ответ дан 3 December 2019 в 03:00

Обычно для общедоступного сервера, нуждающегося в «достаточной» энтропии, я бы предложил что-то вроде энтропийного ключа, аппаратного устройства (USB), добавляющего случайные биты в пул энтропии Linux. Но вы не разговариваете с внешним миром.

У виртуальных машин может быть проблема с отсутствием внешней случайности.

Ваше замечание «резервный контроллер домена» действительно добавляет возможное использование энтропии: домены Windows действительно используют случайные числа в сертификатах.

2
ответ дан 3 December 2019 в 03:00

Теги

Похожие вопросы